Autenticar aplicacions de correu web via Shibboleth

Objectiu:

Aplicacions de correu web com ara RoundCube o Horde autentiquen els usuaris mitjançant una pàgina típica però, després, utilitzen les credencials subministrades constantment amb els servidors IMAP, CardDAV i/o CalDAV. Si autentiquem l’usuari mitjançant Shibboleth en aquestes aplicacions no es disposarà de la contrasenya per accedir als serveis dels que depenen.

El que aquesta entrada explica és com subministrar la contrasenya com a atribut entre l’idp i l’sp. És important notar que aquesta configuració només s’hauria d’aplicar en entorns controlats i mai enviar la contrasenya a proveïdors de serveis fora de l’organització. Precisament la gràcia de Shibboleth és abstreure la capa d’autenticació de les aplicacions web, si tornem a enviar la contrasenya a aquestes aplicacions no estem aconseguint res. El cas de les aplicacions de correu web és un cas molt particular i, com a tal, s’ha de tractar.

Continua llegint

Shibboleth SP amb múltiples VirtualHosts

Objectiu:

Ens podem trobar amb el cas que disposem de diverses aplicacions web en el mateix servidor apache, configurats mitjançant VirtualHosts i cadascun d’ells volem que autentiqui mitjançant Shibboleth. L’objectiu d’aquesta entrada és configurar Shibboleth en aquesta situació creant un host virtual a Shibboleth per a cada VirtualHost d’apache.

Continua llegint

Shibboleth SP amb Debian Wheezy 7.1

Objectiu:

L’objectiu d’aquesta entrada és disposar d’una màquina que executi un servei web, mitjançant apache2, on protegirem un directori mitjançant autenticació shibboleth. A aquesta màquina l’anomenarem d’ara en endavant sp. Per dur a terme aquesta tasca serà necessari disposar d’un idp que s’encarregui de l’autenticació. En aquest bloc existeix un pas a pas sobre com configurar-lo aquí. Un cop assolit el nostre objectiu podem escalar aquesta configuració a tots aquells serveis web que desitgin compartir l’autenticació en l’entorn SSO.

Requeriments previs:

El sistema operatiu que utilitzarem és Debian Wheezy versió 7.1. La instal·lació del sistema operatiu no es detallarà. Existeix una guia per a Debian Lenny 5.0 en aquest bloc que es pot utilitzar sense massa complicacions, ja que el procés d’instal·lació és gairebé calcat.

L’sp l’instal·larem com a mòdul d’apache2.

A la vegada serà necessari disposar d’algun sistema de resolució de noms, ja sigui mitjançant un servidor DNS (com ara bind) o bé mitjançant l’arxiu /etc/hosts en cada màquina on treballem. Tal i com s’indica en aquesta entrada el nom de la màquina on s’allotjarà l’sp serà sp.domain.org, alhora, com s’especificava en l’entrada anterior, el nom del proveïdor d’identitat és idp.domain.org.

Continua llegint

L2TP sobre IPSEC per a dispositius iOS

Objectiu:

Muntar un servidor L2TP/IPSEC per tal que els dispositius iOS es puguin connectar a una xarxa remota mitjançant VPN. Aquest servei s’executarà sobre una màquina Debian 6.0 (Squeeze).

Procediment:

Utilitzarem, bàsicament, dos paquets disponibles en els repositoris de Debian. La instal·lació és com segueix:

$ apt-get install openswan xl2tpd

Un cop instal·lats aturarem els serveis per poder configurar-los:

$ service ipsec stop
$ service xl2tpd stop

Continua llegint

Horizon (Openstack Dashboard) sobre Ubuntu 11.10

Objectiu:

Disposar d’un entorn web per tal de controlar la infraestructura Openstack instal·lada en els tutorials anteriors. L’Openstack Dashboard ofereix un entorn web simple amb el que es possible crear instàncies, volums, regles de seguretat i demés sobre un entorn Openstack. Es tracta d’una aplicació web desenvolupada amb python i que funciona mitjançant el connector wsgi d’Apache, tot i que també es pot executar de forma autònoma. En aquest tutorial farem que funcioni com un VirtualHost més d’Apache.

Continua llegint